Ce mardi 19 mai 2026, Microsoft révèle avoir neutralisé une vaste plateforme criminelle, baptisée Fox Tempest. Ce service en ligne proposait aux cybercriminels de rendre leurs virus indétectables en détournant un service cloud légitime de Microsoft, Azure Artifact Signing (anciennement Trusted Signing). Depuis 2024, il permet aux développeurs de signer numériquement du code et des applications, sans avoir à gérer soi-même les certificats ou les clés privées. Les chercheurs décrivent Fox Tempest comme un « acteur majeur, mais souvent invisible, de l’écosystème de la cybercriminalité ».
À lire aussi : Microsoft met fin à la double authentification par SMS – une source « de fraude »
Certificats frauduleux et fausses identités
Quand un développeur crée une application pour Windows, il peut en effet la faire certifier par une autorité reconnue. Ce certificat numérique prouve que le logiciel vient bien de lui, et qu’il n’a pas été modifié ultérieurement, pour y cacher un logiciel malveillant par exemple. Windows et les antivirus utilisent ce certificat pour décider si un programme est digne de confiance. Ce service est facturé 10 dollars par mois. Concrètement, le développeur dépose son fichier sur le service Azure, Microsoft vérifie son identité, et le fichier ressort avec un certificat officiel Microsoft. Windows lui fait alors automatiquement confiance.
Les pirates de l’opération Fox Tempest se sont mis à détourner cet outil pour faire certifier des logiciels malveillants. Une fois signé, un virus devenait invisible aux antivirus. Le malware pouvait donc impunément se propager sur Windows et faire des dégâts. Pour obtenir des certificats Microsoft, les criminels utilisaient de fausses identités volées à des développeurs, principalement américains et canadiens. En tout, plus de 1 000 certificats frauduleux ont été créés, ainsi que plusieurs centaines de faux comptes Azure.
Un service par abonnement
Avec ce mode opératoire bien huilé, les pirates ont mis sur pied une véritable plateforme commerciale clé-en-main à destination des hackers. Pour rendre leurs maliciels indétectables, les cybercriminels étaient invités à déposer leur fichier malveillant sur la plateforme. Moyennant finance, ils récupéraient en retour un fichier malveillant proprement signé par un certificat Microsoft. L’accès à la plateforme Fox Tempest reposait sur un abonnement, avec des tarifs allant de 5 000 à 9 500 dollars en Bitcoin. Sans surprise, le service en ligne était massivement mis en avant sur Telegram, la messagerie devenue l’un des repaires favoris des cybercriminels.
Notez que les certificats ainsi obtenus frauduleusement par le biais d’Azure Artifact Signing n’étaient valables que 72 heures. Cette limitation devait minimiser les risques de détection par Microsoft. En dépit de la durée limitée des certificats, l’opération a généré des millions de dollars de profits.
À lire aussi : Microsoft vient de détruire l’arme secrète des pirates pour contourner la double authentification
Vols de données et ransomware
Armés de certificats frauduleux, les utilisateurs de Fox Tempest ont notamment déployé de fausses versions de logiciels populaires, comme Microsoft Teams, AnyDesk, PuTTY ou Webex. L’attaque commence lorsqu’un internaute se rend sur un moteur de recherche pour télécharger le logiciel de son choix. Il tombe alors sur des publicités malveillantes qui le redirigent sur un site web piégé. Sur celui-ci, on trouve de faux fichiers d’installation pour le logiciel.
Une fois les fichiers installés, un logiciel espion, baptisé Oyster et lui-même protégé par un faux certificat numérique, était rapidement déployé sur l’ordinateur. Le virus était taillé pour contourner les mécanismes de défense de Microsoft. Ensuite, Oyster installait un ransomware du nom de Rhysida sur la machine. Sans tarder, il chiffrait alors tous les fichiers de la machine et réclamait une rançon en cryptomonnaies à la victime. En un an d’activité, Fox Tempest a facilité la diffusion d’une dizaine de familles de malwares, dont Lumma Stealer et Vidar, deux virus taillés pour le vol de données à grande échelle, et de plusieurs ransomwares, comme Vanilla Tempest. La plateforme s’est retrouvée impliquée dans des attaques à l’encontre d’hôpitaux, d’universités et d’administrations à travers le monde.
« Au lieu de forcer l’entrée, les attaquants pouvaient s’introduire discrètement en se faisant passer pour des utilisateurs légitimes », explique Microsoft dans son rapport.
La France, une cible de choix pour Fox Tempest
La France a été particulièrement touchée par les opérations reposant sur Fox Tempest. Il s’avère que l’Hexagone était même le second pays du monde le plus ciblé par les hackers exploitant les faux certificats numériques, juste derrière les États-Unis et devant l’Inde. Les secteurs français les plus visés comprennent la santé, l’éducation, les administrations publiques et les services financiers. Ce n’est pas une surprise quand on pense que la France figure dans le top 5 des pays européens les plus ciblés par les ransomwares, selon les rapports annuels de l’ANSSI. Par ailleurs, la France fait face à une explosion de fuites de données depuis quelques années, ce qui accroît les risques d’attaques.
La contre-attaque musclée de Microsoft
Pour mettre un terme aux activités de Fox Tempest, Microsoft s’est tourné vers sa Digital Crimes Unit (DCU), son unité chargée de lutter contre la cybercriminalité à travers le monde. Avec l’appui du FBI, du Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et de la société de cybersécurité Resecurity, Microsoft a saisi le domaine de Fox Tempest, mis hors ligne des centaines de machines virtuelles, révoqué plus de 1 000 certificats frauduleux et supprimé l’ensemble des comptes Azure créés par les pirates.
Par ailleurs, l’éditeur a déposé plainte à l’encontre des administrateurs de Fox Tempest et de l’un de ses principaux clients, le gang Vanilla Tempest. Le géant américain indique que l’opération s’inscrit « dans le cadre d’efforts internes constants visant à révoquer les certificats de signature de code obtenus frauduleusement ». Microsoft ajoute que la riposte oblige les pirates à se « reconstruire, trouver de nouvelles failles et accepter davantage de risques à chaque tentative, ce qui augmente à la fois le coût et le temps nécessaires à l’opération ».
Cette année, Microsoft a déjà mis un terme aux activités de plusieurs opérations criminelles, dont Tycoon2FA, un service « phishing-as-a-service », une cyberattaque d’origine russe ciblant des routeurs, ou encore RedVDS ,un kit de phishing permettant de pirater des comptes Microsoft.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Microsoft
